Kybernetická bezpečnost a ochrana osobních údajů Zdroj: Archiv Poslanecké sněmovny Schvalování nového zákona o kybernetické bezpečnosti NIS2 je v plném proudu a s ním přichází zásadní otázky ohledně ochrany osobních údajů českých občanů. Bohužel, současná verze zákona fyzické ukládání těchto dat neřeší. Přitom se ale ukazuje, že státní data si často „hledají cestu“ napříč kontinenty. Typickým příkladem jsou data eDokladů, která jsou ukládána v datovém centru v Nizozemsku na platformě Microsoft Azure. Proto jsem připravil podklady pro pozměňovací návrhy, které poslankyně Ing. Vladimíra Lesenská předložila ve dvou variantách, přičemž obě řešení mají jasný cíl: zabránit vývozu osobních údajů občanů ČR do zahraničí. Věřím, že poslanci při hlasování tuto klíčovou úpravu podpoří a zajistí, že citlivá data českých občanů budou spravována na území České republiky pod ochranou českého právního řádu. Pokud někdo myslí kybernetickou bezpečnost opravdu vážně, měl by začít od základů – tedy od fyzické ochrany dat a volby vhodného úložiště. Nelze na jedné straně šifrovat a na druhé straně ignorovat, kde jsou tato data fyzicky uložena. To by bylo jako zamknout dveře, ale ponechat otevřené okno. Jsem přesvědčen, že tento návrh přispěje k lepší ochraně dat občanů a posílí naši digitální suverenitu. Návrh zákona:https://www.psp.cz/sqw/historie.sqw?o=9&t=759 Související téma Kulatý stůl: Zákon o kybernetické bezpečnosti – Bezpečnost dodavatelských řetězců
Kulatý stůl: Zákon o kybernetické bezpečnosti a jeho dopad na obce a kraje
Kulatý stůl: Zákon o kybernetické bezpečnosti a jeho dopad na obce a kraje Zdroj: Archiv Poslanecké sněmovny Na nedávném kulatém stole v Poslanecké sněmovně, který proběhl pod záštitou poslankyně Ing. Vladimíry Lesenské, jsme se zabývali dopady nového zákona o kybernetické bezpečnosti na obce a kraje. Tuto diskuzi jsem měl tu čest organizovat a shrnuji v tomto článku hlavní body, které v průběhu jednání zazněly. Obce a kraje jsou důležitými součástmi naší infrastruktury, ale často nemají k dispozici dostatečné zdroje, aby zvládaly čelit novým kybernetickým hrozbám. Nový zákon o kybernetické bezpečnosti ukládá povinnosti nejen velkým firmám a institucím, ale také těmto menším subjektům. Jaké výzvy a přínosy tento zákon přináší pro místní samosprávy? V následujících částech článku se zaměříme na klíčové aspekty, které ovlivňují obce a kraje, včetně nákladů na implementaci, přínosů pro občany a podpory ze strany státu. Kybernetické útoky nejsou zaměřeny pouze na velké korporace nebo národní instituce. Menší obce, města a kraje také spravují citlivé údaje a poskytují klíčové služby, jako je například správa veřejných financí nebo infrastruktury. Zástupci krajských a obecních samospráv během kulatého stolu vyjádřili obavy, že nemají dostatek zdrojů na to, aby implementovali všechna bezpečnostní opatření, která nový zákon vyžaduje. Alena Klimt, zástupkyně Svazu měst a obcí, se během diskuze jasně vyjádřila k tomu, že požadavky zákona jdou příliš daleko a nejsou v souladu s evropskou směrnicí. Podle ní se zde opět dostáváme do situace takzvaného „gold-platingu,“ kdy legislativa jde nad rámec požadavků EU. Klimt uvedla, že směrnice „v žádném případě nehovoří o tom, že by se obce, jakékoliv obce, měly stát předmětem regulace a měly by se stát povinnými subjekty.“ Vyzvala proto k tomu, aby menší obce nebyly zahrnuty mezi povinné subjekty kybernetické bezpečnosti.Dále upozornila na nedostatek personálu a finančních zdrojů v menších obcích: „Ptali jsme se vás, kde vezmeme personál. Neustále slyšíme o tom, že bude docházet ke zvyšování odměňování zaměstnanců ve veřejné správě, ale my je nezaplatíme a nemáme je kde brát.“ Klimt také zdůraznila, že doporučení outsourcovat tyto služby může pro obce představovat značné finanční náklady. Na závěr shrnula hlavní postoj Svazu měst a obcí slovy: „Apelujeme na to, aby mezi povinné subjekty nebyly zařazeny obce ani s rozšířenou působností.“ Jednou z hlavních obav, které zazněly, byly náklady spojené s implementací bezpečnostních opatření. Zástupci obcí a krajů uvedli, že menší města a obce často nemají dostatek finančních ani personálních zdrojů, aby mohly být splněny všechny požadavky zákona. To může vést k tomu, že budou muset investovat značné prostředky do zabezpečení svých systémů, což může zatížit jejich rozpočty. Na druhou stranu je ale důležité, aby byly systémy obcí a krajů chráněny. Zástupci NÚKIB během diskuze upozornili na to, že bezpečnostní incidenty mohou mít vážné dopady na obyvatele – například výpadky služeb, ztráta citlivých dat nebo narušení veřejné správy. Implementace bezpečnostních opatření tak zajistí, že občané budou mít větší jistotu, že jejich údaje a služby, na které spoléhají, jsou v bezpečí. Navíc, jak zdůraznili zástupci státního zastupitelství, prevence kybernetických incidentů je vždy méně nákladná než řešení následků po útoku. Další důležitou otázkou, kterou řešili zástupci obcí a krajů, byla podpora ze strany státu. Menší obce často nemají technické zázemí ani odborníky na kybernetickou bezpečnost. Zástupci NÚKIB během diskuze u kulatého stolu uvedli, že stát bude poskytovat metodickou podporu a školení, která obcím a krajům pomohou s implementací bezpečnostních opatření. Plánují také audity, které by měly obcím pomoci identifikovat slabá místa a zlepšit úroveň jejich zabezpečení. Nový zákon o kybernetické bezpečnosti přináší obcím a krajům nové povinnosti, které budou muset zavést, aby ochránily své systémy před kybernetickými útoky. I když to může být pro menší obce náročné kvůli finančním a personálním omezením, je důležité, aby tyto instituce přijaly opatření na ochranu citlivých údajů a služeb, na které občané spoléhají. Stát v této oblasti plánuje poskytovat pomoc formou školení a metodické podpory, aby obcím a krajům usnadnil tuto implementaci. Můj osobní názor Je nepochybné, že ochrana před kybernetickými hrozbami musí být prioritou. Avšak při stanovení povinností by měla být zohledněna rozmanitost a specifické podmínky jednotlivých subjektů. Nemůžeme přistupovat k obcím a krajům jednotným metrem. Je nezbytné, aby byly nároky na menší obce přiměřené jejich možnostem a zdrojům. Čím menší subjekt, tím menší zátěž by na něj měla být kladena. Podporuji tedy názor Svazu měst a obcí, který volá po tom, aby byly menší obce z některých povinností vyjmuty nebo aby jejich závazky byly podstatně sníženy. Tento přístup by umožnil efektivní ochranu dat a systémů, aniž by byly obce nadměrně zatíženy. Záznam z celého jednání můžete shlédnout zde:https://videoarchiv.psp.cz/playa.php?cast=4102 Související téma Kulatý stůl: Zákon o kybernetické bezpečnosti – Bezpečnost dodavatelských řetězců
Kulatý stůl: Zákon o kybernetické bezpečnosti – Bezpečnost dodavatelských řetězců
Kulatý stůl: Zákon o kybernetické bezpečnosti – Bezpečnost dodavatelských řetězců Zákon o kybernetické bezpečnosti Pod záštitou poslankyně Ing. Vladimíry Lesenské proběhl v Poslanecké sněmovně kulatý stůl zaměřený na rizika a příležitosti, které přináší nový zákon o kybernetické bezpečnosti. Tuto událost jsem měl možnost organizovat a v tomto článku shrnu hlavní body z diskuze na jedno z témat, která se u kulatého stolu řešila, a tím je bezpečnost dodavatelských řetězců. Jedním z hlavních cílů zákona je ochrana národních infrastruktur před rizikovými dodavateli technologií. Zavedení mechanismů pro prověřování dodavatelů je považováno za zásadní krok k posílení bezpečnosti státu, zejména pokud jde o kritické infrastruktury. Během diskuze zaznělo, že tato opatření mají potenciál zvýšit důvěru občanů v bezpečnost digitálních systémů, což přispívá k ochraně citlivých dat a národních zájmů. Zástupci odborné veřejnosti upozornili, že posílení pravomocí NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) při rozhodování o tom, které technologie představují bezpečnostní riziko, je důležitým krokem vpřed. Tento mechanismus má zajistit, že veřejné instituce i soukromé firmy budou mít jasná pravidla pro spolupráci s dodavateli technologií, což by mělo vést k vyšší bezpečnosti kritických systémů. Nicméně ne všichni účastníci kulatého stolu se na tomto opatření shodli. Někteří odborníci na kybernetickou bezpečnost vyjádřili obavy z přehnané regulace. Podle těchto názorů by příliš přísné podmínky mohly zpomalit technologický vývoj a odradit inovativní firmy od spolupráce s veřejným sektorem. To by mohlo mít negativní dopad na zavádění moderních technologií, zejména v oblastech, jako jsou telekomunikace a energetika. Další kontroverzní bod se týkal zákonné možnosti, kterou nový zákon přiznává NÚKIB – konkrétně práva zakazovat rizikové dodavatele. Někteří diskutující navrhli, že tato omezení by měla být prováděna vládou, nikoli samotným úřadem. Tento přístup by podle nich mohl lépe zajistit transparentnost a politickou odpovědnost v tak citlivé oblasti. Během diskuze rovněž zaznělo varování před přetížením firem novými administrativními požadavky, zejména pro menší firmy, které by mohly mít problémy s plněním nových regulačních standardů. Bylo zdůrazněno, že je důležité, aby regulace byla přiměřená a efektivní, aniž by vytvářela zbytečné bariéry pro podnikání. Diskuze přinesla také různé názory na to, jakým způsobem by mělo probíhat prověřování dodavatelů. Někteří účastníci vyzdvihli, že je zásadní, aby firmy vybíraly své dodavatele na základě přísných bezpečnostních kritérií, což přispěje k vyšší odolnosti kritické infrastruktury státu. Jiní varovali před tím, že přehnaná regulace by mohla ohrozit konkurenceschopnost českých firem na globálním trhu a omezit jejich schopnost inovovat. Zákon o kybernetické bezpečnosti přináší řadu výzev i příležitostí. Zatímco zavedení prověřování dodavatelů je považováno za krok správným směrem, otázkou zůstává, jakým způsobem bude regulace aplikována v praxi a jak zajistit, aby nebyla na překážku technologickému pokroku. Jak diskuze u kulatého stolu ukázala, je třeba najít rovnováhu mezi bezpečnostními opatřeními a podporou inovací, aby se české firmy mohly nadále rozvíjet a zůstat konkurenceschopné na globálním trhu. Můj osobní názorOsobně se přikláním k tomu, aby byl zákon upraven. Na jedné straně uznávám, že nová pravomoc NÚKIBu zasahovat do dodavatelských řetězců prostřednictvím zákazů může zvýšit efektivitu jeho zásahů. Na druhé straně jsem však přesvědčen, že takto zásadní rozhodnutí by nemělo být v kompetenci jednoho úřadu. Spíše zastávám názor, že by konečné slovo měla mít vláda, což by zajistilo větší politickou odpovědnost a transparentnost celého procesu. Je nezbytné najít rovnováhu mezi rychlostí rozhodování a potřebou politického dohledu, aby se předešlo přílišné koncentraci moci v rukou jednoho úřadu. Existuje také riziko, že pokud budou někteří dodavatelé zakázáni, jiní budou zvýhodněni, což může vést k nárůstu cen. Tento vývoj by mohl negativně ovlivnit trh a spotřebitele. Proto je důležité, aby regulace byla nastavena tak, aby nepodporovala monopolní prostředí ani nekladla zbytečné překážky podnikání. Záznam z celého jednání můžete shlédnout zde:https://videoarchiv.psp.cz/playa.php?cast=4102
Kybernetická bezpečnost: Ochrana či omezování? Nový zákon vzbuzuje otázky
Kybernetická bezpečnost: Ochrana či omezování? Nový zákon vzbuzuje otázky Nový kybernetický zákon s novými pravomocemi NÚKIBu a regulacemi v průmyslu vzbuzuje otázky ohledně svobody a kontroly. V posledních měsících jsme svědky živé debaty ohledně nového zákona o kybernetické bezpečnosti, který se momentálně nachází v mezirezortním připomínkovém řízení. Tato novela má ambiciózní cíle – posílit naši ochranu proti kybernetickým hrozbám, ale také vyvolává vážné otázky ohledně pravomocí a kontroly. Základem návrhu je rozšíření pravomocí Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Tento krok by mohl vést k vytvoření jakéhosi „superúřadu“, který by měl široké pravomoci monitorovat a regulovat digitální sféru. Zvýšená kontrola vzbuzuje obavy ohledně našich individuálních svobod a soukromí. Tímto způsobem by mohl být překročen jemný limit mezi ochranou a omezováním. Nový zákon se bude týkat odvětví, jako jsou ENERGETIKA, DOPRAVA, BANKOVNICTVÍ, INFRASTRUKTURA FIN. TRHŮ, ZDRAVOTNICTVÍ, PITNÁ VODA, ODPADNÍ VODA, DIGITÁLNÍ INFRASTRUKTURA, POSKYTOVATELÉ ŘÍZENÝCH ICT SLUŽEB, VEŘEJNÁ SPRÁVA, ODPADNÍ HOSPODÁŘSTVÍ, POŠTOVNÍ SLUŽBY, CHEMICKÝ PRŮMYSL, POTRAVINÁŘSTVÍ, VÝROBA, POSKYTOVATELÉ DIGI SLUŽEB, VÝZKUM. V návaznosti na nové pravomoci NÚKIB se zpřísňují i sankce za nedodržení nového zákona. V textu zákona se skrývá i zásadní ustanovení ohledně výměny statutárních orgánů v soukromých společnostech, které jednají v rozporu s novým zákonem. Tento krok může mít nepředvídatelné dopady na fungování firem a stability podnikatelského sektoru. Je třeba varovat před rychlými a nezvratnými změnami ve struktuře firem, které mohou v konečném důsledku negativně ovlivnit ekonomiku země. Nový zákon se také snaží řešit problematiku rizikových dodavatelů v dodavatelských řetězcích. To však otevírá nové otázky – jak identifikovat rizikového dodavatele, pokud struktura firem může být komplexní a obtížně sledovatelná? Zvláště na globalizovaném trhu, kde většina komponent pochází ze zahraničí, může být sledování obtížné a mnohdy nemožné. To se může dotknout různých průmyslových odvětví, která upozorňují na riziko ztráty flexibility a inovace. Některé firmy se mohou ocitnout v těžké situaci. Debata ohledně nového zákona o kybernetické bezpečnosti je tedy mnohem komplexnější, než by se mohlo na první pohled zdát. Na jedné straně je třeba zabezpečit náš digitální svět před stále sofistikovanějšími hrozbami, na druhé straně nesmíme zapomínat na svobodu jednotlivce. Diskuse o tom, jak dosáhnout toho nejlepšího kompromisu mezi ochranou a svobodou, je více než žádoucí. Je zřejmé, že nový zákon o kybernetické bezpečnosti má své kladné prvky, ale také nese s sebou otázky a rizika, která nesmíme přehlížet. Jde o komplexní téma, které vyžaduje otevřenou debatu a zvážení všech stran argumentů. Jedině tak můžeme zajistit, že budoucnost našeho digitálního světa bude bezpečná, avšak stále svobodná.
